為什么 https 比 http 更安全？

發(fā)布時(shí)間:2022-12-06 17:32

http 和 https 在許多網(wǎng)站都有用到，但是現(xiàn)在都是極力倡導(dǎo)使用 https ，究其原因就是 http 的安全性不夠高，在數(shù)據(jù)傳輸過(guò)程中可能會(huì)遭到黑客竊取。

本篇文章會(huì)先講解 http 缺點(diǎn)，然后再講解 https 是如何解決這些問(wèn)題來(lái)保證安全的。

 

一、http 缺點(diǎn)

通信使用明文（不加密），內(nèi)容可能會(huì)被竊聽(tīng)

http (HyperText Transfer Protocol)，即超文本運(yùn)輸協(xié)議，是實(shí)現(xiàn)網(wǎng)絡(luò)通信的一種規(guī)范。

http 本身不具備加密的功能，因此其在通信過(guò)程是使用明文方式發(fā)送的。這種方式就有可能造成通信過(guò)程中信息會(huì)被破解獲取。

例如：一群佩奇在路上坐著敞篷大貨車，路過(guò)的人直接能看到車?yán)锒际桥迤?，信息完全暴露?/span>

 

不驗(yàn)證通信方的身份，有可能遭遇偽裝

http 協(xié)議在請(qǐng)求和響應(yīng)中不會(huì)對(duì)通信方進(jìn)行確認(rèn)。這就存在你訪問(wèn)的服務(wù)器有可能不是你真正指定的服務(wù)器，拿到返回響應(yīng)的客戶端可能不是一開(kāi)始發(fā)起請(qǐng)求的客戶端。  

例如：母雞孵蛋，我偷偷把雞蛋換成鴨蛋，母雞照樣在那孵，不會(huì)有任何的懷疑。

 

無(wú)法證明報(bào)文完整性，有可能信息已遭篡改

http 協(xié)議無(wú)法證明通信的報(bào)文完整性，在請(qǐng)求和響應(yīng)發(fā)出后，在傳輸過(guò)程中內(nèi)容如果遭到篡改，也沒(méi)有辦法感知到。

 

 

例如：你從某個(gè)網(wǎng)站下載內(nèi)容，無(wú)法確定你客戶端下載的文件和服務(wù)器中存放的文件是否一致，有可能文件在傳輸過(guò)程中被篡改為其他的內(nèi)容。

 

二、什么是 https ?

 

http + 加密 + 認(rèn)證 + 完整性保護(hù) = https

 

https 實(shí)現(xiàn)機(jī)密性的做法就是 “加密”，將需要傳遞的消息進(jìn)行加密，只有擁有“鑰匙”的人才能拿到原始數(shù)據(jù)。  

這個(gè)鑰匙我們叫做 “密鑰”，加密后的叫做 “密文”。通過(guò)密鑰來(lái)還原數(shù)據(jù)的過(guò)程叫 “解密”，加密解密的整個(gè)操作過(guò)程就是 “加密算法”。  

加密可以分為兩種形式，對(duì)稱加密和非對(duì)稱性加密。

 

對(duì)稱加密

對(duì)稱加密指的是加密和解密用同一個(gè)密鑰。但是在通信之前，客戶端和服務(wù)端是不會(huì)有這樣同一把密鑰的，需要其中一方將密鑰發(fā)送給對(duì)方。

 

在整個(gè)傳輸過(guò)程沒(méi)有任何驗(yàn)證操作，所以黑客也可以截取到這把密鑰從而破譯出加密的內(nèi)容。所以純對(duì)稱加密是不安全的。

 

非對(duì)稱加密

 

非對(duì)稱加密指的是加密和解密用不同的密鑰。它有兩個(gè)密鑰，一個(gè)叫 “公鑰”，一個(gè)叫“私鑰”。兩個(gè)鑰匙是不同的，公鑰可以給任何人使用，但私鑰必須嚴(yán)格保密。    

公鑰加密的數(shù)據(jù)只能由私鑰解密，反過(guò)來(lái)，私鑰加密后也只能用公鑰解密。   

 

網(wǎng)站秘密保管私鑰，在網(wǎng)上隨意分發(fā)公鑰，如果你想登錄網(wǎng)站，只要用公鑰來(lái)加密即可，密文只能由私鑰持有者才能解密，即使數(shù)據(jù)傳輸過(guò)程中被黑客獲取到，他也無(wú)法破解。

 

混合加密

非對(duì)稱性加密雖然安全性高，但因?yàn)樗际腔趶?fù)雜的數(shù)學(xué)運(yùn)算，速度就會(huì)很慢，雖然保證了安全，但通信速度太慢，實(shí)用性也會(huì)大打折扣。  

混合加密就是在通信剛開(kāi)始的時(shí)候使用非對(duì)稱算法，來(lái)解決對(duì)稱加密密鑰交換安全性問(wèn)題。  

 

對(duì)方拿到密文后用私鑰解密，拿到對(duì)稱密鑰，這樣雙方就實(shí)現(xiàn)了對(duì)稱密鑰的安全交換，后續(xù)就不再使用非對(duì)稱加密，全都使用對(duì)稱加密。

 

 

 

這樣混合加密就實(shí)現(xiàn)了安全和性能兼顧，實(shí)現(xiàn)了可靠的機(jī)密性。

 

 

三、為什么不全部使用 https ?

通過(guò)前面的介紹，https 的安全性比 http 強(qiáng)太多，但是依然會(huì)有很多網(wǎng)站沒(méi)有全部使用 https。

究其原因就是加密通信會(huì)消耗更多的CPU及內(nèi)存資源，如果每次通信都進(jìn)行加密，會(huì)消耗相當(dāng)多的資源。  

因此如果是非敏感信息可以使用 http 通信，包含個(gè)人信息等敏感數(shù)據(jù)，才利用 https 加密通信。

使用 https 還有一個(gè)問(wèn)題就是需要證書(shū)，而證書(shū)必須向認(rèn)證機(jī)構(gòu)(CA)去購(gòu)買，這也是一筆不小的費(fèi)用。